Alighanem tíz Google Drive-használóból kilencen most először gondolkoznak el rajta komolyabban, hogy valóban annyira tuti dolog-e Google Drive-on – meg úgy egyáltalán Google-szolgáltatásban – tárolni bármit is. Az alábbiakban ismertetett eset ugyanis az elsők egyike, amikor bebizonyosodott, hogy a Google nagyvállalati környezetre szánt, kimondottan drága megoldása miatt bizalmas adatok felmérhetetlen tömege szivárgott ki.
Eléggé erős sztorit hozott az Arstechnica a minap: Google Drive-ban tárolt, elvben védett dokumentumok tízmilliói voltak kereshetőek egyszerűen a Google keresőjével abszolút bárki számára, és nagyon úgy fest, hogy hosszú hónapokon keresztül. Közöttük nem kis mennyiségben voltak olyan, kórházak által kezelt dokumentumok, amik a HIPAA (Health Insurance Portability and Accountability Act) hatálya alá esnek, azaz igencsak szigorú biztonsági követelményeknek megfelelően kellene tárolni, ilyen például a betegekre vonatkozó közvetlen adatok.
Az eset kiválóan rámutat arra, mekkora felelőtlenség hülyeségig bízni a Google Drive-ban és az ahhoz kapcsolódó, megbízhatónak hitt szolgáltatásokban. Hogyan fordulhatott elő konkrétan a mostani eset?
Az elhagyott állományok esete
Az ún. Google dorkok és az erre épülő Google hacking azóta létezik, mióta maga a Google keresés. Google hacking lényege a következő. A Googlebot – ez a Google internetet feltérképező robotja – alapvetően mindent indexel és gyorsítótáraz, amit csak lát, és az adott webszerveren nincs megjelölve kimondottan úgy, hogy azt ne gyorsítótárazza semmilyen keresőszolgáltatás. Ez történik azokkal a dokumentumokkal is, amiket a felhasználó annak tudatában töltött fel valahova, hogy azt úgysem találja meg senki. Gyakran előfordul, hogy a Googlebot feldolgoz olyan, webszervereken felejtett mappákban lévő, nem egy esetben kényes információkat is tartalmazó dokumentumokat, amelyeken nincs az előbb említett, indexelést tiltó korlátozás, így azok simán kereshetővé válnak.
Így aztán lehet például olyan fájlokat keresni a Google-lel, amik valószínűsíthetően felhasználónév–jelszó párosokat tartalmaznak egy Excel-formátumban. Mielőtt valaki abban a tévhitben ringatná magát, hogy annyira azért senki sem hülye, hogy egy webszerver megosztott mappájában ilyet csak úgy ottfelejtsen, ki kell ábrándítanom: általában egy-egy ilyen ordító dorkkal dokumetumok tízezreit lehet megtalálni a neten. Ráadásul egy ilyen lekérdezést elindítani egyszerű, mint a faék:
Akit pedig mélyebben érdekel a téma, az Offensive Security oldalán mindenki számára elérhető pedáns gyűjtemény van olyan trükkökből, amikkel hasonló érzékeny adatok nyerhetők ki.
Az ilyen dokumentumok keresése nem is illegális – ám az azokból kinyert adatok felhasználása természetesen már az. A legtöbb állam törvényei szerint ugyanis egy a web dzsumbujában talált felhasználónév–jelszó párossal belépni egy olyan helyre, amihez a felhasználónak semmi köze, törvénysértő.
Megjegyzem, a Google Drive-on tárolt dokumentumokban ezzel a módszerrel csak úgy nem lehet keresni, kivéve, amikor igen.
Hogyan működik ez a Google-nél?
Mint ismert, a Google Drive, pontosabban a Google-szolgáltatásai számos más szolgáltatással összekapcsolhatóak. Ehhez azonban mindig kell a felhasználó beleegyezése. A leggyakoribb ilyen eset, amikor úgy kell regisztrálni egy oldalon, hogy nem e-mail címet és egy kiagyalt jelszót adunk meg, hanem magával a Google-fiókunkkal regisztrálunk. Ha tehát már beléptünk a Google-fiókunkba, az adott külső szolgáltatás automatikusan beenged, azaz a saját gépünkön jellemzően mindig. Ez kényelmes, mivel nem kell plusz egy jelszót megjegyezni. Elvben biztonságos is, mert a külső szolgáltatásnak nincs szüksége a Google-jelszavunkra, mert az ún. OAuth-on keresztül történik meg a fiók azonosítása.
A Google egyik, nagyvállalatoknak kínált terméke a Google Search Appliace. Ez lehetővé teszi, hogy egy nagyvállalat akár több tízmillió dokumentumát pillanatok alatt kereshetővé tegye, persze szigorúan a szervezeten belül. A Google Search Appliace kombinálható-összekapcsolható más szolgáltatásokkal, például a nagyvállalati Google Drive-val vagy akár különféle, csoportmunkát segítő rendszerekkel.
Ide vezethető vissza a mostani hajmeresztő adatszivárgás oka is. Leegyszerűsítve: a Google Search Appliance úgy volt összedrótozva az OAuth-on kereszül a Slack nevű, csoportmunkát támogató szolgáltatással, hogy az egyébként szigorúan belső használatra szánt dokumentumok milliói váltak láthatóvá a teljes web felé.
Ami különösen elgondolkoztató az egészben, hogy külön-külön sem a Google Drive, sem az ezzel összekapcsolt Google Search Appliance, sem pedig a Slack nem valamilyen szoftverhiba miatt csorgatta ki az adatokat – sejthetően százterabájtos dózisban – a webre, hanem ezek egyikének figyelmetlen beállítása okozta az incidenst.
A felhasználói hülyeségre is gondolni kell
Hangsúlyoznám, ezek a szolgáltatások szinte mindenre fel voltak készítve! Csak éppen arra nem, hogy a felhasználók egy része – tudatlanságból vagy lustaságból – még akkor is túlságosan lazára veszi a figurát, amikor teljes kórházak adatvagyonát kezeli.
Ahogy szoktam mondani, remek filozófiai kérdés, hogy egy-egy biztonságosnak kikiáltott szolgáltatás fejlesztőit mennyi felelősség terheli olyan esetben, amikor a felhasználóbarát tervezés miatt túl nagy marad az emberi természetből – tipikusan kényelemből – eredő biztonsági kockázat. (A legegyszerűbb, de a fentiekkel analóg eset: normálisabb helyeken megkövetelik a felhasználótól, hogy kellően erős, azaz bonyolult jelszót használjon.)
A vállalati Google-szolgáltatások jókora részének, de a Google Drive-nak is komoly bűne az információs társadalommal szemben, hogy azt az érzetet keltik a felhasználókban, hogy pusztán a szoftveresen megvalósított biztonság egyet jelent az effektív biztonsággal. Megjegyzem, sokak szerint a Google vállalati megoldásai egyszerűen megbuktak ilyen szempontból, mert többek közt a túl sok kényelmi szolgáltatás megteremti annak a lehetőségét, hogy a felhasználó figyelmetlensége miatt súlyos, észrevétlen adatlopások történhessenek.
Tételezzük fel, hogy van egy újságíró, aki a Google Drive-on tárolja az adatait, mi több, ezek keresztül fér hozzá azokhoz az adatokhoz is, amit vele más Google Drive-felhasználók megosztottak. Az is járhat helyreállíthatatlan bizalomvesztéssel, ha egy egyszerű kézirat, netán egy informátortól kapott, bizalmas adatokat is tartalmazó dokumentum az informátor kilétét felfedve szivárog ki. Az pedig egyenesen rémisztő, hogy az újságíróból idővel rovatvezető, főszerkesztő, majd a kiadó menedzsmentjének tagja lesz, és – lévén a felhasználói szokások szinte sosem változnak – akkor is ilyen megbízhatatlan eszközöket használ, amikor már egy nagy kiadó stratégiai lépéseit leíró dokumentumokat kell kezelnie.
Röviden: a Google Drive, na meg úgy egyáltalán a Google rossz, kéremkapcsoljaki.
Akkor egyáltalán ne használjuk?
Csak a teljesség kedvéért. Én is használom a Google egyes szolgáltatásait, de vagy tartalékrendszerként, vagy a Google Apps-t olyan sajátossága miatt, amiben vélhető a legerősebb, például egy esetleges levélbombás támadással szembeni védelemben. Az már csak hab a tortán, hogy azt a technikát, amivel a levélbombákat, illetve spameket hatékonyan meg tudják fékezni a Google rendszerében, nem is a keresőóriás fejlesztette, hanem az általuk felvásárolt Postini.
Régebben voltak helyek, ahol én is Google Apps-t javasoltam bevezetésre vagy állítottam be. Ez azonban minden esetben együtt járt a Google Apps beállítópaneljén történő finomhangolással, hogy valamennyire meg tudja védeni a felhasználót önmagától – például 16+ karakteres jelszóhossz kikényszerítésével.
De olyan helyekre semmiképpen sem javasolnám, ahol kimondottan minősített adatokat kezelnek. A fenti eset jól mutatja: elég egy figyelmetlenség például a Google Search Appliance, a Googe Drive és a Slack összekapcsolásánál ahhoz, beláthatatlan a következményei legyenek. Hiszen azt már szinte lehetetlen megállapítani, hogy Google-kereséseken keresztül talált kényes dokumentumokat mennyien töltöttek le és adták el a feketepiacon.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak